Entscheidungsdatum
20.11.2023Norm
B-VG Art133 Abs4Spruch
W214 2222613-2/62E
TEILERKENNTNIS
IM NAMEN DER REPUBLIK!
Das Bundesverwaltungsgericht hat durch die Richterin Dr. Eva SOUHRADA-KIRCHMAYER als Vorsitzende sowie die fachkundigen Laienrichterinnen Mag. Huberta MAITZ-STRASSNIG und Mag. Claudia KRAL-BAST als Beisitzerinnen über die Beschwerde des XXXX , vertreten durch noyb - Europäisches Zentrum für digitale Rechte, gegen den Bescheid der Datenschutzbehörde vom 11.09.2019, DSB-D124.059/0005-DSB/2019, in Bezug auf die Zurverfügungstellung einer Kopie der verarbeiteten personenbezogenen Daten im Rahmen eines Auskunftsersuchens gemäß Art. 15 DSGVO zu Recht erkannt:Das Bundesverwaltungsgericht hat durch die Richterin Dr. Eva SOUHRADA-KIRCHMAYER als Vorsitzende sowie die fachkundigen Laienrichterinnen Mag. Huberta MAITZ-STRASSNIG und Mag. Claudia KRAL-BAST als Beisitzerinnen über die Beschwerde des römisch 40 , vertreten durch noyb - Europäisches Zentrum für digitale Rechte, gegen den Bescheid der Datenschutzbehörde vom 11.09.2019, DSB-D124.059/0005-DSB/2019, in Bezug auf die Zurverfügungstellung einer Kopie der verarbeiteten personenbezogenen Daten im Rahmen eines Auskunftsersuchens gemäß Artikel 15, DSGVO zu Recht erkannt:
A)
1. Der Beschwerde wird teilweise stattgegeben und festgestellt, dass die mitbeteiligte Partei den Beschwerdeführer dadurch im Recht auf Auskunft über seine personenbezogenen Daten gemäß Art. 15 DSGVO verletzt hat, dass sie ihm keine vollständige Auskunft in Form einer Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung gestellt hat. 1. Der Beschwerde wird teilweise stattgegeben und festgestellt, dass die mitbeteiligte Partei den Beschwerdeführer dadurch im Recht auf Auskunft über seine personenbezogenen Daten gemäß Artikel 15, DSGVO verletzt hat, dass sie ihm keine vollständige Auskunft in Form einer Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung gestellt hat.
2. Der mitbeteiligten Partei wird aufgetragen, dem Beschwerdeführer binnen vier Wochen bei sonstiger Exekution, die den Beschwerdeführer betreffenden Bonitätsreports, mit Ausnahme allenfalls vorhandener Kontaktdaten dritter natürlicher Personen, die für die Empfänger tätig sind, zu übermitteln.
3. Im Übrigen wird die Beschwerde als unbegründet abgewiesen.
B)
Die Revision ist gemäß Art. 133 Abs. 4 B-VG zulässig.Die Revision ist gemäß Artikel 133, Absatz 4, B-VG zulässig.
Text
Entscheidungsgründe:
I. Verfahrensgang:römisch eins. Verfahrensgang:
1. In seiner an die Datenschutzbehörde (DSB, belangte Behörde vor dem Bundesverwaltungsgericht) gerichteten Beschwerde vom 16.01.2019 machte der Beschwerdeführer eine Verletzung im Recht auf Information gemäß Art. 14 DSGVO sowie eine Verletzung im Recht auf Auskunft gemäß Art. 15 DSGVO durch die XXXX (ehemalige Beschwerdegegnerin vor der belangten Behörde, nunmehr mitbeteiligte Partei vor dem Bundesverwaltungsgericht) geltend und brachte zusammengefasst vor, dass sein Auskunftsbegehren vom 28.12.2018 mit Schreiben der mitbeteiligten Partei vom 31.12.2018 nur unzureichend beantwortet worden und eine Kopie der personenbezogenen Daten nicht übermittelt worden sei. 1. In seiner an die Datenschutzbehörde (DSB, belangte Behörde vor dem Bundesverwaltungsgericht) gerichteten Beschwerde vom 16.01.2019 machte der Beschwerdeführer eine Verletzung im Recht auf Information gemäß Artikel 14, DSGVO sowie eine Verletzung im Recht auf Auskunft gemäß Artikel 15, DSGVO durch die römisch 40 (ehemalige Beschwerdegegnerin vor der belangten Behörde, nunmehr mitbeteiligte Partei vor dem Bundesverwaltungsgericht) geltend und brachte zusammengefasst vor, dass sein Auskunftsbegehren vom 28.12.2018 mit Schreiben der mitbeteiligten Partei vom 31.12.2018 nur unzureichend beantwortet worden und eine Kopie der personenbezogenen Daten nicht übermittelt worden sei.
2. Über Aufforderung der belangten Behörde erstattete die mitbeteiligte Partei am 18.03.2019 eine Stellungnahme, in welcher (soweit verfahrensgegenständlich relevant) ausgeführt wurde, dass die erteilte Auskunft überschaubar sämtliche vom Beschwerdeführer geführten Daten übersichtlich darstelle und durch eine Kopie kein Mehrwert bestehe. Über die Aufstellung hinaus habe die mitbeteiligte Partei keine Daten in Form von Korrespondenzen verarbeitet. Eine Herausgabe sämtlicher Daten würde im Übrigen Geschäftsgeheimnisse verletzen, was ein anerkannter Grund zur Verweigerung der Auskunft sei.
3. Mit dem angefochtenen Bescheid vom 11.09.2019 wies die belangte Behörde die Beschwerde wegen Verstoßes gegen das Auskunftsrecht sowie wegen Verstoßes gegen Informationspflichten gemäß Art. 14 DSGVO ab (Spruchpunkte 1. und 2.) und wegen Verletzung im Recht auf Geheimhaltung aufgrund eines Verstoßes gegen die Datenminimierungspflicht sowie aufgrund eines Verstoßes gegen die Datensicherungspflichten gemäß Art. 25 DSGVO zurück (Spruchpunkt 3.).3. Mit dem angefochtenen Bescheid vom 11.09.2019 wies die belangte Behörde die Beschwerde wegen Verstoßes gegen das Auskunftsrecht sowie wegen Verstoßes gegen Informationspflichten gemäß Artikel 14, DSGVO ab (Spruchpunkte 1. und 2.) und wegen Verletzung im Recht auf Geheimhaltung aufgrund eines Verstoßes gegen die Datenminimierungspflicht sowie aufgrund eines Verstoßes gegen die Datensicherungspflichten gemäß Artikel 25, DSGVO zurück (Spruchpunkt 3.).
Begründend führte die belangte Behörde (soweit verfahrensgegenständlich relevant) zusammengefasst aus, dass der Beschwerdeführer durch die erteilte Auskunft vollständige Kenntnis über alle bei der mitbeteiligten Partei über ihn gespeicherten Daten erlangt habe, da auch keine weiteren Korrespondenzen und Akten sowie Bankauszüge bei der mitbeteiligten Partei bestünden. Wenn der Beschwerdeführer eine Kopie der Daten wünsche, ziele er offensichtlich auf Abzüge oder Screenshots von bei der mitbeteiligten Partei verarbeiteten Daten ab. Dabei übersehe er aber, dass ein selbständiger Anspruch auf eine Datenkopie zwar neben dem Anspruch auf inhaltliche Auskunft über die verarbeiteten Daten bestehe, die Übermittlung der Datenkopie decke aber beide Ansprüche ab, wenn sich die Daten aus der Kopie nach Maßgabe des Transparenzgebots für die betroffene Person erschließen ließen. Eine Datenkopie bedeute demnach nicht eine genaue Abschrift oder ein Faksimile, sondern bestehe ein Wahlrecht des Verantwortlichen, wie er dem Begehren einer betroffenen Person nachkomme, begrenzt durch Art. 15 Abs. 3 S. 3 DSGVO, wonach ein Verantwortlicher jedenfalls elektronisch beantragte Auskünfte auch elektronisch erteilen müsse.Begründend führte die belangte Behörde (soweit verfahrensgegenständlich relevant) zusammengefasst aus, dass der Beschwerdeführer durch die erteilte Auskunft vollständige Kenntnis über alle bei der mitbeteiligten Partei über ihn gespeicherten Daten erlangt habe, da auch keine weiteren Korrespondenzen und Akten sowie Bankauszüge bei der mitbeteiligten Partei bestünden. Wenn der Beschwerdeführer eine Kopie der Daten wünsche, ziele er offensichtlich auf Abzüge oder Screenshots von bei der mitbeteiligten Partei verarbeiteten Daten ab. Dabei übersehe er aber, dass ein selbständiger Anspruch auf eine Datenkopie zwar neben dem Anspruch auf inhaltliche Auskunft über die verarbeiteten Daten bestehe, die Übermittlung der Datenkopie decke aber beide Ansprüche ab, wenn sich die Daten aus der Kopie nach Maßgabe des Transparenzgebots für die betroffene Person erschließen ließen. Eine Datenkopie bedeute demnach nicht eine genaue Abschrift oder ein Faksimile, sondern bestehe ein Wahlrecht des Verantwortlichen, wie er dem Begehren einer betroffenen Person nachkomme, begrenzt durch Artikel 15, Absatz 3, Sitzung 3 DSGVO, wonach ein Verantwortlicher jedenfalls elektronisch beantragte Auskünfte auch elektronisch erteilen müsse.
4. Gegen diesen Bescheid erhob der Beschwerdeführer mit Eingabe vom 04.10.2019 fristgerecht Beschwerde an das Bundesverwaltungsgericht. Darin brachte er (soweit verfahrensgegenständlich relevant) zusammengefasst vor, die belangte Behörde würde die DSGVO falsch auslegen, wenn sie behaupte, der Verantwortliche habe ein Wahlrecht, wie er dem Begehren einer betroffenen Person nachkomme, und dass eine Datenkopie keine genaue Abschrift oder ein Faksimile wäre. Zwar werde in der Literatur davon ausgegangen, dass, wenn sich die Daten aus der Kopie nach Maßgabe des Transparenzgebotes für die betroffene Person erschließen ließen, sowohl der Anspruch auf Datenkopie als auch der Anspruch auf inhaltliche Auskunft abgedeckt würden. Daraus könne aber nicht der Umkehrschluss abgeleitet werden, dass auch durch eine inhaltliche Auskunft das Recht auf Kopie der Daten abgedeckt werde. Soweit die mitbeteiligte Partei einwende, dass durch die Herausgabe einer Kopie Geschäftsgeheimnisse verletzt würden, da eine Kopie von Daten aus der relationalen Datenbank zwangsläufig auch die logisch-mathematischen Verknüpfungen der einzelnen Datensätze wiedergeben würde, sei dem zu entgegnen, dass, würde eine derart pauschale Behauptung ausreichen, um eine Datenkopie zu verweigern, dieses Recht de facto obsolet wäre, da in der Praxis Daten meistens in einer relationalen Datenbank gespeichert würden. Vielmehr müsste die mitbeteiligte Partei eine für die betroffene Person, die Datenschutzbehörde und nachprüfende Gerichte nachvollziehbare Begründung liefern, wieso speziell diese Informationen ein Geschäftsgeheimnis darstellten. Eine solch nachvollziehbare Begründung habe die mitbeteiligte Partei aber nicht erbracht. Darüber hinaus stellten gerade auch die logisch-mathematischen Verknüpfungen der Daten Informationen dar, die für die Beurteilung der Rechtmäßigkeit der Verarbeitung von Bedeutung sein könnten. Somit hätte die mitbeteiligte Partei zusätzlich zur inhaltlichen Auskunft auch eine Kopie der Daten zur Verfügung stellen müssen. Dies sei jedoch unterblieben.
5. Mit Schreiben vom 14.10.2019 legte die belangte Behörde die Beschwerde sowie den Verwaltungsakt dem Bundesverwaltungsgericht zur Entscheidung vor und gab eine Stellungnahme ab, in welcher sie (soweit verfahrensgegenständlich relevant) ausführte, dass Beschwerdeführer ohne Begründung in der Literatur davon ausgehe, dass ihm eine Kopie in Form eines Faksimiles zustehe. Weder Verordnungstext, Erwägungsgründe noch Literatur würden diese Ansicht unterstützen. Die belangte Behörde gehe vielmehr davon aus, dass schon dem Grundsatz nach die datenschutzrechtliche Auskunft über eigene Daten als prozessuales Begleitrecht zur Überprüfung, ob Daten gesetzeskonform verarbeitet würden, zustehe. In diesem Sinne habe auch der EuGH ausgesprochen, dass das Auskunftsrecht der Vorbereitung von Berichtigung, Löschung oder Sperrung von Daten diene. Demnach sei das „Interesse“ des Beschwerdeführers, unabhängig davon, was im Auskunftsrecht geltend gemacht werden könne, damit normativ beschränkt. Auch daraus sei erkennbar, dass ein Faksimile nicht Gegenstand des Auskunftsrechts sei. Zum Vorbringen, ein Verantwortlicher könne sich dem Auskunftsrecht nicht mit der Begründung, er habe Geschäftsgeheimnisse, entschlagen, sei festzuhalten, dass es dem Beschwerdeführer wieder um die Herausgabe eines Faksimiles gehe. Diese Begründung, mit der eben dies von der mitbeteiligten Partei im ursprünglichen Verfahren abgelehnt worden sei, sei aber nicht von der belangten Behörde zur Bescheidbegründung herangezogen worden. Schon allein aus diesem Grund sei nicht ersichtlich, inwieweit hier überhaupt ein verfahrensrelevantes Vorbringen vorliege.
6. Mit Schreiben vom 14.04.2021 räumte das Bundesverwaltungsgericht dem Beschwerdeführer, der mitbeteiligten Partei sowie der belangten Behörde Parteiengehör und die Gelegenheit zur Stellungnahme ein.
7. Die Parteien gaben in der Folge jeweils eine Stellungnahme ab, in welcher sie im Wesentlichen ihr bisheriges Vorbringen wiederholten. Die mitbeteiligte Partei führte ergänzend aus, dass mit Schreiben vom 05.05.2021 eine ergänzende Auskunft erteilt und dem Begehren damit vollständig entsprochen worden sei.
8. Mit Teilerkenntnis vom 09.08.2021, Zl. W211 XXXX , erkannte das Bundesverwaltungsgericht in Bezug auf die Beschwerdepunkte betreffend die Erteilung der Auskunft über die Herkunft der Daten, die Speicherdauer und die Verarbeitungszwecke sowie betreffend die vorgebrachte Verletzung von Informationspflichten gemäß Art. 14 DSGVO, betreffend die geltend gemachte Verletzung im Recht auf Geheimhaltung gemäß § 1 DSG und die geltend gemachte Verletzung der Datenminimierungspflicht nach Art. 5 DSGVO und der Datensicherungspflichten gemäß Art. 25 DSGVO, folgendermaßen:8. Mit Teilerkenntnis vom 09.08.2021, Zl. W211 römisch 40 , erkannte das Bundesverwaltungsgericht in Bezug auf die Beschwerdepunkte betreffend die Erteilung der Auskunft über die Herkunft der Daten, die Speicherdauer und die Verarbeitungszwecke sowie betreffend die vorgebrachte Verletzung von Informationspflichten gemäß Artikel 14, DSGVO, betreffend die geltend gemachte Verletzung im Recht auf Geheimhaltung gemäß Paragraph eins, DSG und die geltend gemachte Verletzung der Datenminimierungspflicht nach Artikel 5, DSGVO und der Datensicherungspflichten gemäß Artikel 25, DSGVO, folgendermaßen:
„A)
I.römisch eins.
1. Der Beschwerde gegen Spruchpunkt 1. wird teilweise stattgegeben und festgestellt, dass die mitbeteiligte Partei den Beschwerdeführer dadurch in seinem Recht auf Auskunft verletzt hat, dass sie eine unzureichende Auskunft im Sinne des Art. 15 Abs. 1 lit. d DSGVO hinsichtlich der geplanten Dauer, für die die personenbezogenen Daten gespeichert werden, bzw. die Kriterien für die Festlegung dieser Dauer erteilt hat.1. Der Beschwerde gegen Spruchpunkt 1. wird teilweise stattgegeben und festgestellt, dass die mitbeteiligte Partei den Beschwerdeführer dadurch in seinem Recht auf Auskunft verletzt hat, dass sie eine unzureichende Auskunft im Sinne des Artikel 15, Absatz eins, Litera d, DSGVO hinsichtlich der geplanten Dauer, für die die personenbezogenen Daten gespeichert werden, bzw. die Kriterien für die Festlegung dieser Dauer erteilt hat.
2. Der mitbeteiligten Partei wird aufgetragen, innerhalb einer Frist von zwei Wochen bei sonstiger Exekution die Auskunft betreffend die Speicherdauer gemäß Art. 15 DSGVO zu erteilen.2. Der mitbeteiligten Partei wird aufgetragen, innerhalb einer Frist von zwei Wochen bei sonstiger Exekution die Auskunft betreffend die Speicherdauer gemäß Artikel 15, DSGVO zu erteilen.
3. Die Beschwerde gegen Spruchpunkt 1. wird in Bezug auf die Beschwerdepunkte betreffend die Erteilung der Auskunft über die Herkunft der Daten und die Verarbeitungszwecke abgewiesen.
II. Der Beschwerde gegen Spruchpunkt 2. wird stattgegeben und festgestellt, dass die mitbeteiligte Partei ihre Informationspflicht nach Art. 14 Abs. 1 lit. e DSGVO verletzt hat.3. Die Beschwerde gegen Spruchpunkt 1. wird in Bezug auf die Beschwerdepunkte betreffend die Erteilung der Auskunft über die Herkunft der Daten und die Verarbeitungszwecke abgewiesen.
II. Der Beschwerde gegen Spruchpunkt 2. wird stattgegeben und festgestellt, dass die mitbeteiligte Partei ihre Informationspflicht nach Artikel 14, Absatz eins, Litera e, DSGVO verletzt hat.
III.römisch III.
1. Der Beschwerde gegen Spruchpunkt 3. wird hinsichtlich der geltend gemachten Verstöße gegen die Datenminimierungspflicht nach Art. 5 DSGVO sowie die Datensicherungspflichten nach Art. 25 DSGVO stattgegeben und der angefochtene Bescheid diesbezüglich ersatzlos behoben.1. Der Beschwerde gegen Spruchpunkt 3. wird hinsichtlich der geltend gemachten Verstöße gegen die Datenminimierungspflicht nach Artikel 5, DSGVO sowie die Datensicherungspflichten nach Artikel 25, DSGVO stattgegeben und der angefochtene Bescheid diesbezüglich ersatzlos behoben.
2. Die Beschwerde gegen Spruchpunkt 3. wird hinsichtlich der Zurückweisung der Datenschutzbeschwerde wegen einer geltend gemachten Verletzung im Recht auf Geheimhaltung abgewiesen.
B)
Die Revision ist gemäß Art. 133 Abs. 4 B-VG zulässig.“Die Revision ist gemäß Artikel 133, Absatz 4, B-VG zulässig.“
9. Mit Beschluss vom 09.08.2021, Zl. W211 XXXX , legte das Bundesverwaltungsgericht folgende Fragen zur Beschwerde in Bezug auf die Zurverfügungstellung einer Kopie der personenbezogenen Daten gemäß Art. 15 Abs. 3 DSGVO nach Art. 267 AEUV dem Gerichtshof der Europäischen Union zur Vorabentscheidung vor:9. Mit Beschluss vom 09.08.2021, Zl. W211 römisch 40 , legte das Bundesverwaltungsgericht folgende Fragen zur Beschwerde in Bezug auf die Zurverfügungstellung einer Kopie der personenbezogenen Daten gemäß Artikel 15, Absatz 3, DSGVO nach Artikel 267, AEUV dem Gerichtshof der Europäischen Union zur Vorabentscheidung vor:
1. Ist der Begriff der „Kopie“ in Art 15 Abs. 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, ABl L 119/1 vom 4. Mai 2016, S. 1; im Folgenden: „DSGVO“) dahingehend auszulegen, dass damit eine Fotokopie bzw. ein Faksimile oder eine elektronische Kopie eines (elektronischen) Datums gemeint ist, oder fällt dem Begriffsverständnis deutscher, französischer und englischer Wörterbücher folgend unter den Begriff auch eine „Abschrift“, un „double“ („duplicata“) oder ein „transcript“? 1. Ist der Begriff der „Kopie“ in Artikel 15, Absatz 3, der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, ABl L 119/1 vom 4. Mai 2016, Sitzung 1; im Folgenden: „DSGVO“) dahingehend auszulegen, dass damit eine Fotokopie bzw. ein Faksimile oder eine elektronische Kopie eines (elektronischen) Datums gemeint ist, oder fällt dem Begriffsverständnis deutscher, französischer und englischer Wörterbücher folgend unter den Begriff auch eine „Abschrift“, un „double“ („duplicata“) oder ein „transcript“?
2. Ist Art 15 Abs. 3 Satz 1 DSGVO, wonach „der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind“, zur Verfügung stellt, dahingehend auszulegen, dass darin ein allgemeiner Rechtsanspruch einer betroffenen Person auf Ausfolgung einer Kopie – auch – gesamter Dokumente enthalten ist, in denen personenbezogene Daten der betroffenen Person verarbeitet werden, bzw. auf Ausfolgung einer Kopie eines Datenbankauszuges bei Verarbeitung der personenbezogenen Daten in einer solchen, oder besteht damit – nur – ein Rechtsanspruch für die betroffene Person auf originalgetreue Reproduktion der nach Art 15 Abs. 1 DSGVO zu beauskunftenden personenbezogenen Daten?2. Ist Artikel 15, Absatz 3, Satz 1 DSGVO, wonach „der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind“, zur Verfügung stellt, dahingehend auszulegen, dass darin ein allgemeiner Rechtsanspruch einer betroffenen Person auf Ausfolgung einer Kopie – auch – gesamter Dokumente enthalten ist, in denen personenbezogene Daten der betroffenen Person verarbeitet werden, bzw. auf Ausfolgung einer Kopie eines Datenbankauszuges bei Verarbeitung der personenbezogenen Daten in einer solchen, oder besteht damit – nur – ein Rechtsanspruch für die betroffene Person auf originalgetreue Reproduktion der nach Artikel 15, Absatz eins, DSGVO zu beauskunftenden personenbezogenen Daten?
3. Für den Fall, dass die Frage 2. dahingehend beantwortet wird, dass nur ein Rechtsanspruch für die betroffene Person auf originalgetreue Reproduktion der nach Art 15 Abs. 1 DSGVO zu beauskunftenden personenbezogenen Daten besteht, ist Art 15 Abs. 3 Satz 1 DSGVO dahingehend auszulegen, dass es bedingt durch die Art der verarbeiteten Daten (zum Beispiel in Bezug auf die im Erwägungsgrund 63 angeführten Diagnosen, Untersuchungsergebnisse, Befunde oder auch Unterlagen im Zusammenhang mit einer Prüfung im Sinne des Urteils des Gerichtshofs der Europäischen Union vom 20. Dezember 2017, C-434/16, ECLI:EU:C:2017:994) und das Transparenzgebot in Art 12 Abs. 1 DSGVO im Einzelfall dennoch erforderlich sein kann, auch Textpassagen oder ganze Dokumente der betroffenen Person zur Verfügung zu stellen?3. Für den Fall, dass die Frage 2. dahingehend beantwortet wird, dass nur ein Rechtsanspruch für die betroffene Person auf originalgetreue Reproduktion der nach Artikel 15, Absatz eins, DSGVO zu beauskunftenden personenbezogenen Daten besteht, ist Artikel 15, Absatz 3, Satz 1 DSGVO dahingehend auszulegen, dass es bedingt durch die Art der verarbeiteten Daten (zum Beispiel in Bezug auf die im Erwägungsgrund 63 angeführten Diagnosen, Untersuchungsergebnisse, Befunde oder auch Unterlagen im Zusammenhang mit einer Prüfung im Sinne des Urteils des Gerichtshofs der Europäischen Union vom 20. Dezember 2017, C-434/16, ECLI:EU:C:2017:994) und das Transparenzgebot in Artikel 12, Absatz eins, DSGVO im Einzelfall dennoch erforderlich sein kann, auch Textpassagen oder ganze Dokumente der betroffenen Person zur Verfügung zu stellen?
4. Ist der Begriff „Informationen“, die nach Art 15 Abs. 3 Satz 3 DSGVO der betroffenen Person dann, wenn diese den Antrag elektronisch stellt, „in einem gängigen elektronischen Format zur Verfügung zu stellen“ sind, „sofern sie nichts anderes angibt“, dahingehend auszulegen, dass damit allein die in Art 15 Abs. 3 Satz 1 genannten „personenbezogenen Daten, die Gegenstand der Verarbeitung sind“ gemeint sind?4. Ist der Begriff „Informationen“, die nach Artikel 15, Absatz 3, Satz 3 DSGVO der betroffenen Person dann, wenn diese den Antrag elektronisch stellt, „in einem gängigen elektronischen Format zur Verfügung zu stellen“ sind, „sofern sie nichts anderes angibt“, dahingehend auszulegen, dass damit allein die in Artikel 15, Absatz 3, Satz 1 genannten „personenbezogenen Daten, die Gegenstand der Verarbeitung sind“ gemeint sind?
a) Falls die Frage 4. verneint wird: Ist der Begriff „Informationen“, die nach Art 15 Abs. 3 Satz 3 DSGVO der betroffenen Person dann, wenn diese den Antrag elektronisch stellt, „in einem gängigen elektronischen Format zur Verfügung zu stellen“ sind, „sofern sie nichts anderes angibt“, dahingehend auszulegen, dass darüber hinaus auch die Informationen gemäß Art 15 Abs. 1 lit a) bis h) DSGVO gemeint sind?a) Falls die Frage 4. verneint wird: Ist der Begriff „Informationen“, die nach Artikel 15, Absatz 3, Satz 3 DSGVO der betroffenen Person dann, wenn diese den Antrag elektronisch stellt, „in einem gängigen elektronischen Format zur Verfügung zu stellen“ sind, „sofern sie nichts anderes angibt“, dahingehend auszulegen, dass darüber hinaus auch die Informationen gemäß Artikel 15, Absatz eins, Litera a,) bis h) DSGVO gemeint sind?
b) Falls auch die Frage 4.a. verneint wird: Ist der Begriff „Informationen“, die nach Art 15 Abs. 3 Satz 3 DSGVO der betroffenen Person dann, wenn diese den Antrag elektronisch stellt, „in einem gängigen elektronischen Format zur Verfügung zu stellen“ sind, „sofern sie nichts anderes angibt“, dahingehend auszulegen, dass damit über die „personenbezogenen Daten, die Gegenstand der Verarbeitung sind“ sowie über die in Art. 15 Abs. 1 lit a) – h) DSGVO genannten Informationen hinaus beispielsweise dazugehörende Metadaten gemeint sind?b) Falls auch die Frage 4.a. verneint wird: Ist der Begriff „Informationen“, die nach Artikel 15, Absatz 3, Satz 3 DSGVO der betroffenen Person dann, wenn diese den Antrag elektronisch stellt, „in einem gängigen elektronischen Format zur Verfügung zu stellen“ sind, „sofern sie nichts anderes angibt“, dahingehend auszulegen, dass damit über die „personenbezogenen Daten, die Gegenstand der Verarbeitung sind“ sowie über die in Artikel 15, Absatz eins, Litera a,) – h) DSGVO genannten Informationen hinaus beispielsweise dazugehörende Metadaten gemeint sind?
10. Die belangte Behörde sowie die mitbeteiligte Partei erhoben gegen das Teilerkenntnis vom 09.08.2021 jeweils eine ordentliche Revision an den Verwaltungsgerichtshof.
11. Aufgrund der Verfügung des Geschäftsverteilungsausschusses vom 23.03.2022 wurde die gegenständliche Rechtssache der nunmehr zuständigen Gerichtsabteilung W214 zugewiesen, wo sie am 01.04.2022 einlangte.
12. Mit Urteil des EuGH vom 04.05.2023, Zl. C?487/21, erkannte dieser zu den oben wiedergegebenen Fragen zu Recht:
1. Art. 15 Abs. 3 Satz 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass das Recht, vom für die Verarbeitung Verantwortlichen eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zu erhalten, bedeutet, dass der betroffenen Person eine originalgetreue und verständliche Reproduktion aller dieser Daten ausgefolgt wird. Dieses Recht setzt das Recht voraus, eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, die u. a. diese Daten enthalten, zu erlangen, wenn die Zurverfügungstellung einer solchen Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch diese Verordnung verliehenen Rechte zu ermöglichen, wobei insoweit die Rechte und Freiheiten anderer zu berücksichtigen sind.1. Artikel 15, Absatz 3, Satz 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass das Recht, vom für die Verarbeitung Verantwortlichen eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zu erhalten, bedeutet, dass der betroffenen Person eine originalgetreue und verständliche Reproduktion aller dieser Daten ausgefolgt wird. Dieses Recht setzt das Recht voraus, eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, die u. a. diese Daten enthalten, zu erlangen, wenn die Zurverfügungstellung einer solchen Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch diese Verordnung verliehenen Rechte zu ermöglichen, wobei insoweit die Rechte und Freiheiten anderer zu berücksichtigen sind.
2. Art. 15 Abs. 3 Satz 3 der Verordnung 2016/679 ist dahin auszulegen, dass sich der im Sinne dieser Bestimmung verwendete Begriff „Informationen“ ausschließlich auf personenbezogene Daten bezieht, von denen der für die Verarbeitung Verantwortliche gemäß Satz 1 dieses Absatzes eine Kopie zur Verfügung stellen muss.2. Artikel 15, Absatz 3, Satz 3 der Verordnung 2016/679 ist dahin auszulegen, dass sich der im Sinne dieser Bestimmung verwendete Begriff „Informationen“ ausschließlich auf personenbezogene Daten bezieht, von denen der für die Verarbeitung Verantwortliche gemäß Satz 1 dieses Absatzes eine Kopie zur Verfügung stellen muss.
13. Die mitbeteiligte Partei erstattete am 16.06.2023 eine Stellungnahme und führte aus, dass dem Beschwerdeführer die von ihm begehrten Kopien von Dokumenten bzw. Datenbankauszügen nicht zustehen würden. Die mitbeteiligte Partei speichere die in der Vergangenheit betreffend den Beschwerdeführer übermittelten Bonitätsauskünfte nicht in Form eines Dokuments und könne daher auch eine Kopie eines solchen (nicht existenten) Dokuments bereitstellen. In Bezug auf einen Datenbankauszug sei festzuhalten, dass es unmöglich sei, die Daten eines einzelnen Betroffenen im „originalgetreuen“ und damit proprietären Datenformat zu identifizieren. Die mitbeteiligte Partei sei lediglich in der Lage, mit Hilfe der dafür vorgesehenen Software (Microsoft SQL Server) auf Grundlage der im proprietären Datenformat gespeicherten Daten strukturierte Daten zu erstellen. Genau dies habe die mitbeteiligte Partei bereits getan und diese Daten in den Auskünften bereitgestellt. Eine darüberhinausgehende „originalgetreue“ Wiedergabe der Daten in ihrem proprietären Datenformat sei schlicht unmöglich. Die Daten wären in ihrem originalgetreuen (proprietären) Datenformat für den Beschwerdeführer im Übrigen wohl auch nicht lesbar. Lediglich der Vollständigkeit halber sei anzumerken, dass das Recht auf Übermittlung einer Datenkopie keinesfalls eine Offenlegung des relationalen Datenbankmodells umfassen könne, weil es sich hierbei um ein Geschäftsgeheimnis handle, das ex lege von Art. 15 DSGVO ausgenommen sei.13. Die mitbeteiligte Partei erstattete am 16.06.2023 eine Stellungnahme und führte aus, dass dem Beschwerdeführer die von ihm begehrten Kopien von Dokumenten bzw. Datenbankauszügen nicht zustehen würden. Die mitbeteiligte Partei speichere die in der Vergangenheit betreffend den Beschwerdeführer übermittelten Bonitätsauskünfte nicht in Form eines Dokuments und könne daher auch eine Kopie eines solchen (nicht existenten) Dokuments bereitstellen. In Bezug auf einen Datenbankauszug sei festzuhalten, dass es unmöglich sei, die Daten eines einzelnen Betroffenen im „originalgetreuen“ und damit proprietären Datenformat zu identifizieren. Die mitbeteiligte Partei sei lediglich in der Lage, mit Hilfe der dafür vorgesehenen Software (Microsoft SQL Server) auf Grundlage der im proprietären Datenformat gespeicherten Daten strukturierte Daten zu erstellen. Genau dies habe die mitbeteiligte Partei bereits getan und diese Daten in den Auskünften bereitgestellt. Eine darüberhinausgehende „originalgetreue“ Wiedergabe der Daten in ihrem proprietären Datenformat sei schlicht unmöglich. Die Daten wären in ihrem originalgetreuen (proprietären) Datenformat für den Beschwerdeführer im Übrigen wohl auch nicht lesbar. Lediglich der Vollständigkeit halber sei anzumerken, dass das Recht auf Übermittlung einer Datenkopie keinesfalls eine Offenlegung des relationalen Datenbankmodells umfassen könne, weil es sich hierbei um ein Geschäftsgeheimnis handle, das ex lege von Artikel 15, DSGVO ausgenommen sei.
Weiters wurde ebenfalls mit Schreiben vom 16.06.2023 dem Beschwerdeführer eine ergänzende Auskunft gegeben.
14. Am 19.06.2023 fand eine mündliche Verhandlung vor dem Bundesverwaltungsgericht statt, in welcher der Geschäftsführer der mitbeteiligten Partei als Zeuge vernommen wurde.
Der mitbeteiligten Partei wurde seitens des Bundesverwaltungsgerichtes der Auftrag erteilt, binnen 14 Tagen mitzuteilen, welche Daten des Beschwerdeführers (im Archiv und außerhalb des Archivs) inklusive leerer Textfelder verarbeitet (aufgeschlüsselt nach gespeicherten und „sonst verarbeiteten“ Daten) werden.
15. Mit Stellungnahme vom 10.07.2023 führte die mitbeteiligte Partei aus, manuell ein Dokument erstellt zu haben, in dem sämtliche gespeicherten, ad hoc errechneten oder gerade nicht verarbeiteten Daten („freie Textfelder“) des Beschwerdeführers aufgelistet seien. Die Datenlieferung gehe über Art. 15 Abs. 3 DSGVO hinaus, das Recht auf Datenkopie bestehe nach der Rechtsprechung des EuGH nur, wenn und soweit eine Kopie unerlässlich sei, um dem Betroffenen die Ausübung seiner Rechte zu ermöglichen. Die nunmehr erfolgte Datenlieferung habe für den Beschwerdeführer keinen Mehrwert gegenüber den ihm bereits übermittelten Datenkopien, die bereits sämtliche für den Beschwerdeführer und die Ausübung seiner Rechte wesentlichen Informationen enthielten. Die Formel zur Ermittlung von Bonitäts-Scores stelle ein Geschäftsgeheimnis der mitbeteiligten Partei dar, was auch die belangte Behörde anerkenne. Soweit die mitbeteiligte Partei Zwischenergebnisse der Berechnung eines Score-Wertes des Beschwerdeführers speichere, handle es sich ebenfalls um Geschäftsgeheimnisse, die vom Recht nach Art. 15 DSGVO ex lege ausgenommen seien. Der Anspruch auf eine Datenkopie gemäß Art. 15 Abs. 3 DSGVO sei mehr als erfüllt, weshalb gemäß § 24 Abs. 6 DSG die Einstellung des Verfahrens beantragt werde. 15. Mit Stellungnahme vom 10.07.2023 führte die mitbeteiligte Partei aus, manuell ein Dokument erstellt zu haben, in dem sämtliche gespeicherten, ad hoc errechneten oder gerade nicht verarbeiteten Daten („freie Textfelder“) des Beschwerdeführers aufgelistet seien. Die Datenlieferung gehe über Artikel 15, Absatz 3, DSGVO hinaus, das Recht auf Datenkopie bestehe nach der Rechtsprechung des EuGH nur, wenn und soweit eine Kopie unerlässlich sei, um dem Betroffenen die Ausübung seiner Rechte zu ermöglichen. Die nunmehr erfolgte Datenlieferung habe für den Beschwerdeführer keinen Mehrwert gegenüber den ihm bereits übermittelten Datenkopien, die bereits sämtliche für den Beschwerdeführer und die Ausübung seiner Rechte wesentlichen Informationen enthielten. Die Formel zur Ermittlung von Bonitäts-Scores stelle ein Geschäftsgeheimnis der mitbeteiligten Partei dar, was auch die belangte Behörde anerkenne. Soweit die mitbeteiligte Partei Zwischenergebnisse der Berechnung eines Score-Wertes des Beschwerdeführers speichere, handle es sich ebenfalls um Geschäftsgeheimnisse, die vom Recht nach Artikel 15, DSGVO ex lege ausgenommen seien. Der Anspruch auf eine Datenkopie gemäß Artikel 15, Absatz 3, DSGVO sei mehr als erfüllt, weshalb gemäß Paragraph 24, Absatz 6, DSG die Einstellung des Verfahrens beantragt werde.
Der Stellungnahme wurde die manuelle Aufstellung der gespeicherten, ad hoc errechneten oder nicht verarbeiteten Daten („freie Textfelder“) des Beschwerdeführers angeschlossen. Weiters wurden in der Stellungnahme allgemeine Informationen zur Ermittlung der Bonitäts-Scores in den Bändern XXXX und XXXX inklusive der verwendeten Parameter erteilt. Der Stellungnahme wurde die manuelle Aufstellung der gespeicherten, ad hoc errechneten oder nicht verarbeiteten Daten („freie Textfelder“) des Beschwerdeführers angeschlossen. Weiters wurden in der Stellungnahme allgemeine Informationen zur Ermittlung der Bonitäts-Scores in den Bändern römisch 40 und römisch 40 inklusive der verwendeten Parameter erteilt.
16. Der Beschwerdeführer replizierte auf die Stellungnahme der mitbeteiligten Partei mit Schriftsatz vom 08.08.2023 dahingehend, dass die mitbeteiligte Partei eine unzulässige Umdeutung der Rechtsprechung des EuGH vornehme, die Formulierung der „Unerlässlichkeit zur Rechteausübung“ verdeutliche nur, warum eine „Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, die u. a. diese Daten enthalten“ notwendig sei, um das Grundrecht auf Auskunft effektiv auszugestalten. Mit keinem Wort stelle der EuGH eine zusätzliche Bedingung für die Ausübung des in Artikel 8 (2) Satz 2 GRC grundrechtlich garantieren Auskunftsrechts auf. Eine vollständige Datenkopie werde von der mitbeteiligten Partei nach wie vor zurückgehalten, dies zeige sich auch dadurch, dass in der nunmehr übermittelten manuellen Aufstellung der Daten des Beschwerdeführers abermals Informationen zum Vorschein gekommen seien, die die mitbeteiligte Partei bislang nicht beauskunftet habe. Die mitbeteiligte Partei habe zudem abermals keine originalgetreue Reproduktion der Daten, sondern nur eine aggregierte Auflistung der verarbeiteten Daten vorgenommen, obwohl der EuGH gerade diese Auslegung von Art. 15 Abs. 3 DSGVO verworfen habe. Neben der reduzierten tabellarischen Darstellung würden in der übermittelten Aufstellung nach wie vor mehrere Daten bzw. zur Kontextualisierung erforderliche Informationen fehlen, etwa welche Scores den einzelnen in den jeweiligen Gesamtscore eingeflossenen Merkmalen zugewiesen worden seien. Es würden auch Kopien der konkreten Bonitätsreports, die die mitbeteiligten Partei den jeweiligen Kunden bereitgestellt habe, fehlen. Es handle sich hierbei auch nicht um Geschäftsgeheimnisse, da solche lediglich in Bezug auf die konkrete Rechenlogik selbst (den Scoring-Algorithmus) vorliegen könnten. Bei den Bonitätsreports könnten etwaige ersichtliche personenbezogene Daten von Mitarbeitern der Datenempfänger ausgeschwärzt werden. Es werde daher der Antrag gestellt, die Verletzung der Auskunftsverpflichtung festzustellen und der mitbeteiligten Partei aufzutragen, dem Beschwerdeführer binnen zwei Wochen eine vollständige Datenkopie der ihn betreffenden von der mitbeteiligten Partei verarbeiteten Daten bereitzustellen, was insbesondere Datenbankauszüge und Screenshots der verarbeiteten Daten, die Bonitätsscores, die den einzelnen verarbeiteten Datenpunkten zugewiesen worden seien, die in die Bonitätsbeurteilungen des Beschwerdeführers eingeflossen seien und deren Gewichtung für diese Bonitätsbeurteilungen und sämtliche im Archiv der mitbeteiligten Partei gespeicherten Bonitätsreports, die den Kunden der mitbeteiligten Partei bereitgestellt worden seien, umfasse. 16. Der Beschwerdeführer replizierte auf die Stellungnahme der mitbeteiligten Partei mit Schriftsatz vom 08.08.2023 dahingehend, dass die mitbeteiligte Partei eine unzulässige Umdeutung der Rechtsprechung des EuGH vornehme, die Formulierung der „Unerlässlichkeit zur Rechteausübung“ verdeutliche nur, warum eine „Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, die u. a. diese Daten enthalten“ notwendig sei, um das Grundrecht auf Auskunft effektiv auszugestalten. Mit keinem Wort stelle der EuGH eine zusätzliche Bedingung für die Ausübung des in Artikel 8 (2) Satz 2 GRC grundrechtlich garantieren Auskunftsrechts auf. Eine vollständige Datenkopie werde von der mitbeteiligten Partei nach wie vor zurückgehalten, dies zeige sich auch dadurch, dass in der nunmehr übermittelten manuellen Aufstellung der Daten des Beschwerdeführers abermals Informationen zum Vorschein gekommen seien, die die mitbeteiligte Partei bislang nicht beauskunftet habe. Die mitbeteiligte Partei habe zudem abermals keine originalgetreue Reproduktion der Daten, sondern nur eine aggregierte Auflistung der verarbeiteten Daten vorgenommen, obwohl der EuGH gerade diese Auslegung von Artikel 15, Absatz 3, DSGVO verworfen habe. Neben der reduzierten tabellarischen Darstellung würden in der übermittelten Aufstellung nach wie vor mehrere Daten bzw. zur Kontextualisierung erforderliche Informationen fehlen, etwa welche Scores den einzelnen in den jeweiligen Gesamtscore eingeflossenen Merkmalen zugewiesen worden seien. Es würden auch Kopien der konkreten Bonitätsreports, die die mitbeteiligten Partei den jeweiligen Kunden bereitgestellt habe, fehlen. Es handle sich hierbei auch nicht um Geschäftsgeheimnisse, da solche lediglich in Bezug auf die konkrete Rechenlogik selbst (den Scoring-Algorithmus) vorliegen könnten. Bei den Bonitätsreports könnten etwaige ersichtliche personenbezogene Daten von Mitarbeitern der Datenempfänger ausgeschwärzt werden. Es werde daher der Antrag gestellt, die Verletzung der Auskunftsverpflichtung festzustellen und der mitbeteiligten Partei aufzutragen, dem Beschwerdeführer binnen zwei Wochen eine vollständige Datenkopie der ihn betreffenden von der mitbeteiligten Partei verarbeiteten Daten bereitzustellen, was insbesondere Datenbankauszüge und Screenshots der verarbeiteten Daten, die Bonitätsscores, die den einzelnen verarbeiteten Datenpunkten zugewiesen worden seien, die in die Bonitätsbeurteilungen des Beschwerdeführers eingeflossen seien und deren Gewichtung für diese Bonitätsbeurteilungen und sämtliche im Archiv der mitbeteiligten Partei gespeicherten Bonitätsreports, die den Kunden der mitbeteiligten Partei bereitgestellt worden seien, umfasse.
17. Mit Schreiben vom 14.08.2023 übermittelte das Bundesverwaltungsgericht die Stellungnahme des Beschwerdeführers an die mitbeteiligte Partei und stellte ergänzende Fragen an sie.
18. Mit Stellungnahme vom 06.09.2023 führte die mitbeteiligte Partei aus, dass es ihr nicht möglich sei, die Datensätze des Beschwerdeführers in einem originalgetreuen Format zu identifizieren bzw. zu beauskunften, da die Speicherung der gesamten Datenbank der mitbeteiligten Partei mittels Microsoft SQL Server in bestimmten Dateien erfolge, deren Format von Microsoft definiert worden und nur Microsoft bekannt sei. Dieses (originalgetreue) proprietäre Datenformat könne ausschließlich mittels Microsoft SQL Server gelesen werden, welcher die Daten jedoch gerade nicht im originalgetreuen Format reproduziere. Das originalgetreue Format bestehe, wie jedes Datenformat, aus einer Abfolge von Binärwerten (0 und 1). Im Konkreten werde die gesamte XXXX -Datenbank mehrere solcher Dateien mit einer durchschnittlichen Größe von 67 Gigabyte gespeichert. Jede derartige Datei enthalte daher Millionen von Datensätzen unterschiedlicher Betroffener. Mangels Kenntnis des proprietären Datenformats in welchem die Daten der Betroffenen gespeichert seien, sei die mitbeteiligte Partei daher nicht in der Lage die konkreten Datensätze des Beschwerdeführers in diesen Dateien zu identifizieren. Der gegenständliche Fall sei vergleichbar mit einem Gruppenfoto mehrerer Personen, dass in einer Datei unter Verwendung eines proprietären, d.h. öffentlich nicht bekannten, Datenformats gespeichert sei. Selbst wenn ein Unternehmen über eine Software verfüge, mit welcher eine solche Datei angezeigt werden könne, wäre es dem Unternehmen dennoch unmöglich, jene Binärfolgen (d.h. Daten im originalgetreuen Format) in der Datei zu identifizieren, die für die Darstellung etwa der mittleren Person verantwortlich seien. Die mitbeteiligte Partei verarbeite sämtliche Informationen zu Betroffenen in einem relationalen Datenbanksystem. Ein Datenbankauszug bestehe in der Darstellung der Daten in der Form der in Beziehung zueinander stehenden Tabellen, weshalb durch einen Datenbankauszug zwangsläufig auch das Datenbankdesign offengelegt würde. Ähnlich wie bei dem Quellcode komplexer Software handle es sich bei einem Datenbankdesign zwar um eine technische Schöpfung, die allerdings aufgrund der nahezu unendlichen Möglichkeiten der konkreten Ausgestaltung in ihrer konkreten Form insbesondere einen urheberrechtlichen Schutz genieße. Das Datenbankdesign der Datenbank sei ausschließlich der mitbeteiligten Partei bekannt, werde von dieser strikt geheim gehalten und verschaffe ihr einen entscheidenden Wettbewerbsvorteil gegenüber Marktbegleitern. Es sei insbesondere so konzipiert worden, dass es einerseits die redundante Speicherung von Daten möglichst vermeide, andererseits die Leistungsfähigkeit des Datenbanksystems maximiere. Das Datenbankdesign habe daher für die mitbeteiligte Partei auch einen erheblichen kommerziellen Wert, die Offenlegung von Datenbankauszügen würde dieses Geschäftsgeheimnis verletzen, weshalb gem. § 4 Abs. 6 DSG keine Pflicht zur Offenlegung bestehen könne. Die Scoreformel stelle ebenfalls ein Geschäftsgeheimnis dar, würde die mitbeteiligte Partei die Teilscores offenlegen, wäre es zwangsläufig möglich, daraus Rückschlüsse auf die Scoreformel zu ziehen. 18. Mit Stellungnahme vom 06.09.2023 führte die mitbeteiligte Partei aus, dass es ihr nicht möglich sei, die Datensätze des Beschwerdeführers in einem originalgetreuen Format zu identifizieren bzw. zu beauskunften, da die Speicherung der gesamten Datenbank der mitbeteiligten Partei mittels Microsoft SQL Server in bestimmten Dateien erfolge, deren Format von Microsoft definiert worden und nur Microsoft bekannt sei. Dieses (originalgetreue) proprietäre Datenformat könne ausschließlich mittels Microsoft SQL Server gelesen werden, welcher die Daten jedoch gerade nicht im originalgetreuen Format reproduziere. Das originalgetreue Format bestehe, wie jedes Datenformat, aus einer Abfolge von Binärwerten (0 und 1). Im Konkreten werde die gesamte römisch 40 -Datenbank mehrere solcher Dateien mit einer durchschnittlichen Größe von 67 Gigabyte gespeichert. Jede derartige Datei enthalte daher Millionen von Datensätzen unterschiedlicher Betroffener. Mangels Kenntnis des proprietären Datenformats in welchem die Daten der Betroffenen gespeichert seien, sei die mitbeteiligte Partei daher nicht in der Lage die konkreten Datensätze des Beschwerdeführers in diesen Dateien zu identifizieren. Der gegenständliche Fall sei vergleichbar mit einem Gruppenfoto mehrerer Personen, dass in einer Datei unter Verwendung eines proprietären, d.h. öffentlich nicht bekannten, Datenformats gespeichert sei. Selbst wenn ein Unternehmen über eine Software verfüge, mit welcher eine solche Datei angezeigt werden könne, wäre es dem Unternehmen dennoch unmöglich, jene Binärfolgen (d.h. Daten im originalgetreuen Format) in der Datei zu identifizieren, die für die Darstellung etwa der mittleren Person verantwortlich seien. Die mitbeteiligte Partei verarbeite sämtliche Informationen zu Betroffenen in einem relationalen Datenbanksystem. Ein Datenbankauszug bestehe in der Darstellung der Daten in der Form der in Beziehung zueinander stehenden Tabellen, weshalb durch einen Datenbankauszug zwangsläufig auch das Datenbankdesign offengelegt würde. Ähnlich wie bei dem Quellcode komplexer Software handle es sich bei einem Datenbankdesign zwar um eine technische Schöpfung, die allerdings aufgrund der nahezu unendlichen Möglichkeiten der konkreten Ausgestaltung in ihrer konkreten Form insbesondere einen urheberrechtlichen Schutz genieße. Das Datenbankdesign der Datenbank sei ausschließlich der mitbeteiligten Partei bekannt, werde von dieser strikt geheim gehalten und verschaffe ihr einen entscheidenden Wettbewerbsvorteil gegenüber Marktbegleitern. Es sei insbesondere so konzipiert worden, dass es einerseits die redundante Speicherung von Daten möglichst vermeide, andererseits die Leistungsfähigkeit des Datenbanksystems maximiere. Das Datenbankdesign habe daher für die mitbeteiligte Partei auch einen erheblichen kommerziellen Wert, die Offenlegung von Datenbankauszügen würde dieses Geschäftsgeheimnis verletzen, weshalb gem. Paragraph 4, Absatz 6, DSG keine Pflicht zur Offenlegung bestehen könne. Die Scoreformel stelle ebenfalls ein Geschäftsgeheimnis dar, würde die mitbeteiligte Partei die Teilscores offenlegen, wäre es zwangsläufig möglich, daraus Rückschlüsse auf die Scoreformel zu ziehen.
19. Der Beschwerdeführer brachte mit Stellungnahme vom 09.10.2023 vor, dass die mitbeteiligte Partei den Begriff des „originalgetreuen Formats“ verdrehe. Jede elektronische Datei werde letztlich als Binärfolge verarbeitet, weshalb es immer eine Software brauche, die diese Binärfolge in ein für den Menschen verständliches Format übertrage. Im datenschutzrechtlichen Sinne werde etwa ein Foto dann „originalgetreu“ als Datenkopie iSd Artikel 15 (3) DSGVO bereitgestellt, wenn es ein Dateiformat habe, das in einem Bildbetrachtungsprogramm ausgelesen werden könne, nicht jedoch, wenn es der betroffenen Person als Binärfolge übermittelt werde. Darüber hinaus hinke der von der mitbeteiligten Partei bemühte Vergleich der gegenständlichen Verarbeitungssituation mit einem Gruppenfoto jedoch massiv und sei bewusst irreführend. Der Zweck einer relationalen Datenbank bestehe gerade darin, Daten in einer strukturierten, verknüpften und durchsuchbaren Art und Weise darzustellen – einzelne Tabellen würden in Relation zueinander gebracht. Im Falle der von der mitbeteiligten Partei betrieben Bonitäts-Datenbank gehe es darum, anhand einer bestimmten Verarbeitungslogik zu einer bestimmten Person die relevanten Datensätze zu finden und den Inhalt ausgewählter Datenfelder dazu zu verwenden, einen numerischen Bonitäts-Score nach einer bestimmten mathematischen Formel zu berechnen. Anders als Fotos, würden relationale Datenbanken jedenfalls mit einfachen Mitteln einen Auszug bestimmter, in dieser Datenbank hinterlegter Informationen erlauben. Ob der Microsoft SQL-Server von der mitbeteiligten Partei intern ein Microsoft-proprietäres Format verwende, sei dabei völlig irrelevant: Schließlich bestünden Anwendungen von Microsoft und Exportmöglichkeiten, um derart verarbeitete Daten originalgetreu zu exportieren. Als Export könne dabei eine CSV-Datei ausgegeben werden, die beispielsweise mit dem gängigen Programm Microsoft Excel oder jedem Texteditor geöffnet werden könne, was der „leicht zugänglichen Form“ iSd Artikel 12 (1) DSGVO entspreche. Um im Zuge des Exports nur jene Datensätze auszugeben, die sich auf den Beschwerdeführer beziehen, könne bei SQL-Servern eine sogenannte „WHERE-Bedingung“ verwendet werden, mit der man zielgerichtet vorgeben und einschränken könne, welche Datensätze exportiert werden. Der mitbeteiligten Partei müssten die entsprechenden WHERE-Bedingungen bekannt sein, da diese anderenfalls nicht in der Lage wäre, seinen Kunden im Rahmen einer Bonitätsabfrage die passenden Daten bereitzustellen. Anders als die mitbeteiligte Partei dies behaupte, würde bei einem derartigen Datenbankauszug auch nicht das Datenbankdesign offengelegt werden. Insbesondere müssten gerade nicht die Datentypen (zB Text oder Zahl) der verwendeten Attribute (=Tabellenfelder), allfällige Constraints (=Beschränkungen der Tabellenfelder), Indizes (=Suchoptimierungen), referentielle Integritäten (=verpflichtende Verknüpfungen zu Datenfeldern), etc. bekanntgeben werden. Lediglich die Namen von Attributen und Tabellen müsste die mitbeteiligte Partei in verständlicher Weise erklären, wobei diese selbst idR keinen Schutz als Geschäftsgeheimnis genießen können, weil es sich zumeist um triviale Bezeichnungen handeln müsse (zB Vorname, Nachname, etc). Ein Datenbankauszug, also ein Export mittels WHERE-Bedingung nur betreffend den Beschwerdeführer, sei also nicht mit einem Datenbankwerk als solches gleichzusetzen und genieße keinen urheberrechtlichen Schutz. Selbst bei Vorliegen eines Geschäftsgeheimnisses dürften nur jene Teile von dem bereitzustellenden Datenbankauszug ausgenommen werden, die tatsächlich Geschäftsgeheimnisse enthalten, oder deren Bereitstellung zu einer Beeinträchtigung solcher Geheimnisse führen würde. Im Ergebnis stünden weder technische noch rechtliche Gründe der Beauskunftung im originalgetreuen Format in Form von Datenbankauszügen entgegen. Neben Datenbankauszügen würden zudem nach wie vor Screenshots fehlen, die deren Vollständigkeit belegen sowie die konkreten Bonitätsreports zum Beschwerdeführer, die die mitbeteiligte Partei ihren Kunden bereitgestellt habe und die gemäß § 152 GewO gespeichert sein müssten. Die mitbeteiligte Partei behaupte, dass es zwangsläufig möglich wäre, aus der Offenlegung von Teilscores Rückschlüsse auf die Scoreformel zu ziehen. Begründet werde diese Behauptung nicht. Selbst wenn anhand der Teilscores partielle Rückschlüsse auf die Scoreformel möglich sein sollten, ginge damit nicht automatisch eine Offenlegung der Scoreformel an sich einher. Nicht mehr Gegenstand des vorliegenden Verfahrens seien aussagekräftige Informationen über Logik, Tragweite und Auswirkungen der von XXXX eingesetzten Scoreformel gemäß Artikel 15(1)(h) DSGVO. Die Frage der konkreten Berechnung des Bonitätsscores einer Person sei für die Frage der Herausgabe der „zweiten Ebene“ der Datenbank der mitbeteiligten Partei nicht relevant.19. Der Beschwerdeführer brachte mit Stellungnahme vom 09.10.2023 vor, dass die mitbeteiligte Partei den Begriff des „originalgetreuen Formats“ verdrehe. Jede elektronische Datei werde letztlich als Binärfolge verarbeitet, weshalb es immer eine Software brauche, die diese Binärfolge in ein für den Menschen verständliches Format übertrage. Im datenschutzrechtlichen Sinne werde etwa ein Foto dann „originalgetreu“ als Datenkopie iSd Artikel 15 (3) DSGVO bereitgestellt, wenn es ein Dateiformat habe, das in einem Bildbetrachtungsprogramm ausgelesen werden könne, nicht jedoch, wenn es der betroffenen Person als Binärfolge übermittelt werde. Darüber hinaus hinke der von der mitbeteiligten Partei bemühte Vergleich der gegenständlichen Verarbeitungssituation mit einem Gruppenfoto jedoch massiv und sei bewusst irreführend. Der Zweck einer relationalen Datenbank bestehe gerade darin, Daten in einer strukturierten, verknüpften und durchsuchbaren Art und Weise darzustellen – einzelne Tabellen würden in Relation zueinander gebracht. Im Falle der von der mitbeteiligten Partei betrieben Bonitäts-Datenbank gehe es darum, anhand einer bestimmten Verarbeitungslogik zu einer bestimmten Person die relevanten Datensätze zu finden und den Inhalt ausgewählter Datenfelder dazu zu verwenden, einen numerischen Bonitäts-Score nach einer bestimmten mathematischen Formel zu berechnen. Anders als Fotos, würden relationale Datenbanken jedenfalls mit einfachen Mitteln einen Auszug bestimmter, in dieser Datenbank hinterlegter Informationen erlauben. Ob der Microsoft SQL-Server von der mitbeteiligten Partei intern ein Microsoft-proprietäres Format verwende, sei
